不急不徐，持之以恒。

sudo yum install memcached 

memcached -m 100 -p 11211 -d -t 2 -c 1024 -P /tmp/memcached.pid 

kill `cat /tmp/memcached.pid` 

telnet localhost 11211 

set foo 0 0 4 abcd STORED  <command name> <key> <flags> <exptime> <bytes> <data block>  <command name> set, add, replace等 <key> 關(guān)鍵字 <flags> 整形參數(shù)，存儲客戶端對鍵值的額外信息，如值是壓縮的，是字符串，或JSON等 <exptime> 數(shù)據(jù)的存活時間，單位為秒，0表示永遠(yuǎn) <bytes> 存儲值的字節(jié)數(shù) <data block> 存儲的數(shù)據(jù)內(nèi)容 

get foo VALUE foo 0 4 abcd END  <command name> <key>  <command name> get, gets。gets比get多返回一個數(shù)字，這個數(shù)字檢查數(shù)據(jù)有沒有發(fā)生變化，當(dāng)key對應(yīng)的數(shù)據(jù)改變時，gets多返回的數(shù)字也會改變。 <key> 關(guān)鍵字  返回的數(shù)據(jù)格式：  VALUE <key> <flags> <bytes> 

cas foo 0 0 4 1 cdef STORED  cas <key> <flags> <exptime> <bytes> <version>  除最后的<version>外，其他參數(shù)與set, add等命令相同，<version>的值需要與gets獲取的值相同，否則無法更新。 incr, decr可對數(shù)字型數(shù)據(jù)進行原子增減操作。 

stats STAT pid 10218 STAT time 1432611519 STAT curr_connections 6 STAT total_connections 9 STAT connection_structures 7 STAT reserved_fds 10 STAT cmd_get 5 STAT cmd_set 1 STAT cmd_flush 0 STAT cmd_touch 0 STAT get_hits 3 STAT get_misses 2 STAT delete_misses 0 STAT delete_hits 0 ... END 

微信訂閱號：
原文地址：http://blog.gopersist.com/2015/05/28/memcached/

<html>
   <head>
     <script>
       document.domain = 'a.com';
       function changeIframeContent() {
         var _iframe = document.getElementById('_iframe');
         var _p = _iframe.contentWindow.document.getElementById('_p');
         _p.innerHTML = 'Content from a.html';
       }
     </script>
   </head>
   <body>
     <iframe id="_iframe" src="http://b.a.com/demo/iframe/subdomain/b.html"></iframe>
     <br>
     <input type="button" value="Change iframe content" onclick="changeIframeContent();"/>
   </body>
 </html> 

<html>
   <head>
     <script>
       document.domain = 'a.com';
     </script>
   </head>
   <body>
     <p id="_p">b.html</p>
   </body>
 </html> 

<html>
   <head>
     <script>
       function update_p (content) {
         document.getElementById("_p").innerHTML = content;
       }
       function getFromB() {
         var _script = document.createElement("script");
         _script.type = "text/javascript";
         _script.src = "http://b.com/demo/ajax/b.js";
         document.getElementsByTagName("head")[0].appendChild(_script);
       }
     </script>
   </head>
   <body>
     <p id="_p">a.html</p>
     <input type="button" value="Get from b.com" onclick="getFromB()"/>
   </body>
 </html> 

update_p("content from b.js"); 

<cross-domain-policy>
   <allow-access-from domain="*.a.com" />
 </cross-domain-policy> 

<html>
   <head>
     <script>
       function update_b () {
         var _iframe = document.getElementById("_iframe");
 	_iframe.contentWindow.postMessage("content from a.html", "http://b.com");
       }
     </script>
   <head>
   <body>
     <iframe id="_iframe" src="http://b.com/demo/html5/b.html"></iframe>
     <br>
     <input type="button" value="Update b.html" onclick="update_b()"></input>
   </body>
 </html> 

<html>
   <head>
     <script>
       window.addEventListener("message", function (event) {
         document.getElementById("_p").innerHTML = event.data;
       }, false);
     </script>
   </head>
   <body>
     <p id="_p">b.html</p>
   </body>
 </html> 

微信訂閱號：
源文地址：http://blog.gopersist.com/2015/04/22/web-security-3/

一、安全的要素

信息安全的核心問題是要保障數(shù)據(jù)的合法使用者能夠在任何需要該數(shù)據(jù)時獲得保密的，沒有被非法更改過的數(shù)據(jù)。主要有以下幾要素：

機密性

• 保證數(shù)據(jù)內(nèi)容不能泄露。
• 用戶的密碼用明文保存，就破壞了機密性。

完整性

• 保證數(shù)據(jù)內(nèi)容不被篡改。
• 使用HTTP提交數(shù)據(jù)時，數(shù)據(jù)在傳輸過程中被篡改后再發(fā)往服務(wù)器，就破壞了完整性。

可用性

• 保證數(shù)據(jù)可被正常訪問和使用。
• 像拒絕服務(wù)攻擊（DoS）就是破壞了可用性。

最基本的安全要素就上面三個，下面還有一些其他的。

可審計性

• 記錄對數(shù)據(jù)產(chǎn)生的操作，用于日后的分析、審查。

不可抵賴性

• 首先要保證數(shù)據(jù)完整性，然后，在傳輸?shù)臄?shù)據(jù)中必須攜帶用于身份識別的信息，且這部分信息在不同主體間不能發(fā)生碰撞。

加密技術(shù)的使用

上一篇《Web安全技術(shù)(1)-對加密機制的理解》中提到了三類加密算法，可以應(yīng)用于某些要素的安全保障。如下面的說明：

對稱加密

• 可保障機密性，對數(shù)據(jù)加密后存儲，可以使沒有密鑰的人員無法獲取數(shù)據(jù)內(nèi)容。

非對稱加密

• 可以對數(shù)據(jù)進行加密解密操作，所以也能像對稱加密一樣保障機密性；
• 因為非對稱加密可以實現(xiàn)數(shù)字簽名，所以可以保證數(shù)據(jù)完整性。另外，由于是使用私鑰簽名，而私鑰只有數(shù)據(jù)發(fā)送方才有，所以如果公鑰可以驗簽成功，則發(fā)送方不可抵賴。

摘要加密

• 摘要算法可保障數(shù)據(jù)完整性。

• 在某些網(wǎng)站的軟件下載頁面里，有時除了下載地址，旁邊還會有一個MD5碼。這個MD5就是對下載的軟件做的摘要加密。在下載完成后，在本機對下載的軟件做MD5，然后和網(wǎng)站上顯示的MD5做比較，如果相同就表示軟件被成功下載，而且下載過程中軟件內(nèi)容沒有被篡改。
• 在做系統(tǒng)時，我們也經(jīng)常會對密碼做摘要加密后再保存，因為摘要加密的一個特性是不可逆，這樣通過數(shù)據(jù)庫中保存的加密后的密碼不可能還原成用戶的真實密碼。而用戶登錄時，只需將用戶提交的密碼再做摘要加密，然后與數(shù)據(jù)庫中保存的密碼比較，就能判斷用戶有沒有輸入正確的密碼。

二、風(fēng)險分析

對于數(shù)據(jù)可能會遇到什么威脅，一般是拍腦袋想一想，也可以使用模型幫忙，下面是一個叫STRIDE的威脅模型：

如何評估風(fēng)險？

數(shù)據(jù)受到威脅就可能造成損失，但損失有大有小，威脅發(fā)生的概率也有高有低，我們要結(jié)合具體情況來對風(fēng)險做出判斷。有一個叫DREAD的模型，可以指導(dǎo)我們?nèi)绾闻袛嗤{的風(fēng)險程度。

每一個因素都分高、中、低三個等級，權(quán)重值分別為3、2、1。

當(dāng)有一個威脅時，我們將它在每一個因素中的權(quán)重值相加，即可得出風(fēng)險系數(shù)。

假如我們對風(fēng)險系數(shù)范圍的定義如下：

高危：12~15分，中危：8~11分，低危：5~7分。

那如果以使用明文保存密碼為例，風(fēng)險系數(shù)可能像下面這樣計算：

風(fēng)險 = D(3) + R(1) + E(1) + A(3) + D(1) = 9分，這就是一個中危風(fēng)險。

后續(xù)對威脅的處理，應(yīng)當(dāng)根據(jù)風(fēng)險的大小和修復(fù)的難易程度做出平衡。

微信訂閱號：
源文地址：http://blog.gopersist.com/2015/04/17/web-security-2/

加密算法

數(shù)據(jù)加密算法有對稱加密、非對稱加密和信息摘要三類。

對稱加密是使用單個密鑰對數(shù)據(jù)進行加密和解密。有DES、AES、RC-5等算法。

非對稱加密是使用一對密鑰(公鑰和私鑰)對數(shù)據(jù)進行加密和解密。有RSA、ECC等算法。非對稱加密大概比對稱加密慢100倍以上。

通常的用法如下：

1. 使用公鑰加密數(shù)據(jù)，使用私鑰解密數(shù)據(jù)。
2. 使用私鑰簽名數(shù)據(jù)，使用公鑰驗證簽名。

信息摘要如果也算加密算法的話，它的加密過程不需要密鑰，并且經(jīng)過加密的數(shù)據(jù)無法被解密，它是根據(jù)不定長的明文計算得到一段定長的數(shù)據(jù)。有MD5、SHA1等算法。

密鑰規(guī)范

規(guī)范太多，網(wǎng)上講得很亂，挑常用的按我的理解列一下。

密鑰格式：

1. X.509：通用的證書格式，包括公鑰信息、用戶標(biāo)識、簽發(fā)信息等。
2. PKCS系統(tǒng)標(biāo)準(zhǔn)：美國RSA數(shù)據(jù)安全公司及其合作伙伴制定的一組公鑰密碼學(xué)標(biāo)準(zhǔn)。其中PKCS#8描述私有密鑰的信息格式，包括私鑰及可選的屬性集等。

密鑰存儲：

1. DER：二進制編碼。
2. PEM：ASCII編碼。

加密模式

塊密碼自身只能加密長度等于密碼塊長度的單塊數(shù)據(jù)，若要對變長數(shù)據(jù)進行加密，則必須事先將數(shù)據(jù)進行切分，而且最后一個數(shù)據(jù)塊需要適當(dāng)?shù)奶畛浞绞綌U展到密碼塊的長度。加密模式即塊密碼的工作模式，就是使用這些方式用同一個密鑰對多于一塊的數(shù)據(jù)進行加密。

加密模式通常用于對稱加密，也可以用于非對稱加密。但非對稱加密通常不適合加密較長的信息，所以會使用混合加密代替。

ps: 以RSA和DES為例，混合加密通常使用DES先加密明文，再使用RSA的公鑰加密DES的密鑰，再將2個密文一起傳遞出去。接收方使用RSA的私鑰解密DES的密鑰信息，再使用DES的密鑰解密具體內(nèi)容。

最簡單的加密模式是ECB（即電子密碼本）。其他還有CBC、PCBC、CFB等。

ECB和CBC需要對最后一塊進行填充，填充方法有很多種，最簡單的是先在明文的最后填充空字符，使明文長度為密碼塊長度的整數(shù)倍。

微信訂閱號：
源文地址：http://blog.gopersist.com/2015/04/08/crypto/

Linux操作系統(tǒng)的I/O模型

JAVA的NIO引入了異步I/O，而Node.js宣稱的就是異步編程，I/O自然是異步的。其實操作系統(tǒng)在很早就引入了異步I/O的概念，如下圖（摘自Unix網(wǎng)絡(luò)編程中的圖片）：

我對上圖的理解有幾點：

1. 從IO設(shè)備讀取數(shù)據(jù)到用戶內(nèi)存的整個過程都是由系統(tǒng)內(nèi)核來完成；
2. 數(shù)據(jù)總是先被拷貝到內(nèi)核緩沖區(qū)，再由內(nèi)核緩沖區(qū)拷貝到用戶內(nèi)存；
3. 除了異步I/O，其余4種I/O模型其實都是阻塞的，至少在數(shù)據(jù)從內(nèi)核拷貝到用戶內(nèi)存時是阻塞的；
4. 雖然異步I/O看上去是理想解決方案，但實現(xiàn)上現(xiàn)在用得最多的應(yīng)該是多路I/O復(fù)用，有select、poll、epoll的實現(xiàn)，性能最好的是epoll；
5. 異步I/O現(xiàn)在被認(rèn)為有缺陷，僅支持O_DIRECT而無法支持系統(tǒng)緩存。

Node.js中的異步I/O

因為內(nèi)核中的異步I/O有缺陷，現(xiàn)實中的異步I/O通常由用戶態(tài)的線程池模擬完成，如下圖：

Node.js中原本使用了libeio異步I/O庫，在v0.9.3后改為自己實現(xiàn)的線程池來完成異步I/O。所以在Node.js中，除了用戶的Javascript代碼是單線程外，所有I/O都是多線程并行執(zhí)行的。

Node.js中的異步I/O調(diào)用

Node.js通過事件循環(huán)的模式運行，在每一個循環(huán)的過程中，通過詢問一個或多個觀察者來判斷是否有事件要處理，而觀察者可以有文件I/O觀察者、網(wǎng)絡(luò)I/O觀察者等。

Node.js中異步I/O調(diào)用的大致流程如下：

• 發(fā)起I/O調(diào)用
  1. 用戶通過Javascript代碼調(diào)用Node核心模塊，將參數(shù)和回調(diào)函數(shù)傳入到核心模塊；
  2. Node核心模塊會將傳入的參數(shù)和回調(diào)函數(shù)封裝成一個請求對象；
  3. 將這個請求對象推入到I/O線程池等待執(zhí)行；
  4. Javascript發(fā)起的異步調(diào)用結(jié)束，Javascript線程繼續(xù)執(zhí)行后續(xù)操作。
• 執(zhí)行回調(diào)
  1. I/O操作完成后，會將結(jié)果儲存到請求對象的result屬性上，并發(fā)出操作完成的通知；
  2. 每次事件循環(huán)時會檢查是否有完成的I/O操作，如果有就將請求對象加入到I/O觀察者隊列中，之后當(dāng)做事件處理；
  • 
    
• 處理I/O觀察者事件時，會取出之前封裝在請求對象中的回調(diào)函數(shù)，執(zhí)行這個回調(diào)函數(shù)，并將result當(dāng)參數(shù)，以完成Javascript回調(diào)的目的。
  
  微信訂閱號：
  源文地址：
  http://blog.gopersist.com/2015/03/09/aio/

1. 安裝Keepalived

2. Server1 Keepalived 配置

3. Server2 Keepalived 配置

4. 啟動Keepalived

5. 測試

試用IPVS的直接路由方式來做負(fù)載均衡。服務(wù)器信息如下：

IP配置信息如下：

直接路由方式工作在數(shù)據(jù)鏈路層，通過修改數(shù)據(jù)包的MAC地址，將數(shù)據(jù)包轉(zhuǎn)發(fā)到實際服務(wù)器上。實際服務(wù)器響應(yīng)時直接發(fā)送給用戶端，而不經(jīng)過調(diào)度器。

因為調(diào)度服務(wù)器并沒有修改數(shù)據(jù)包的IP地址，所以我們需要為實際服務(wù)器設(shè)置與調(diào)度服務(wù)器相同的IP別名，以使實際服務(wù)器接受數(shù)據(jù)包。

為調(diào)度服務(wù)器設(shè)置IP別名：

ifconfig eth1:0 192.168.2.99

IP別名與原來的IP地址在使用上并沒有什么不同，這里可以ping通90和99兩個IP。

為實際服務(wù)器設(shè)置IP別名：

ifconfig lo:0 192.168.2.99 broadcast 192.168.2.99 netmask 255.255.255.255 up

為實際服務(wù)器添加路由規(guī)則，使它不去尋找其他擁有這個IP的服務(wù)器：

route add -host 192.168.2.99 dev lo:0

防止實際服務(wù)器響應(yīng)針對IP別名的ARP廣播：

echo 1>/proc/sys/net/ipv4/conf/lo/arp_ignore

echo 2>/proc/sys/net/ipv4/conf/lo/arp_announce

echo 1>/proc/sys/net/ipv4/conf/all/arp_ignore

echo 2>/proc/sys/net/ipv4/conf/all/arp_announce

使用ipvsadm配置調(diào)度服務(wù)器：

ipvsadm -A -t 192.168.2.99:8888 -s rr

ipvsadm -a -t 192.168.2.99:8888 -r 192.168.2.71:8888 -g

ipvsadm -a -t 192.168.2.99:8888 -r 192.168.2.72:8888 -g

使用下面的命令將連接有效時間改為1秒來測試，：

ipvsadm --set 1 120 300

瀏覽器訪問http://192.168.2.99:8888，每隔1秒多點擊刷新，就會交替出現(xiàn)192.168.2.71和192.168.2.72。

試用IPVS來做負(fù)載均衡，使用了1臺雙網(wǎng)卡服務(wù)器和2臺單網(wǎng)卡服務(wù)器，2個網(wǎng)段。服務(wù)器信息如下：

IP配置信息如下：

1.         首先配置調(diào)度服務(wù)器：

a)         IPVS模塊已經(jīng)內(nèi)置到linux2.6.x內(nèi)核中，可以通過下面的命令查看是否已安裝：

modprobe -l | grep ipvs

看到類似下面的輸出，表示已經(jīng)安裝了

kernel/net/netfilter/ipvs/ip_vs.ko

kernel/net/netfilter/ipvs/ip_vs_rr.ko

kernel/net/netfilter/ipvs/ip_vs_wrr.ko

kernel/net/netfilter/ipvs/ip_vs_lc.ko

kernel/net/netfilter/ipvs/ip_vs_wlc.ko

kernel/net/netfilter/ipvs/ip_vs_lblc.ko

kernel/net/netfilter/ipvs/ip_vs_lblcr.ko

kernel/net/netfilter/ipvs/ip_vs_dh.ko

kernel/net/netfilter/ipvs/ip_vs_sh.ko

kernel/net/netfilter/ipvs/ip_vs_sed.ko

kernel/net/netfilter/ipvs/ip_vs_nq.ko

kernel/net/netfilter/ipvs/ip_vs_ftp.ko

kernel/net/netfilter/ipvs/ip_vs_pe_sip.ko

b)         安裝IPVS的管理工具ipvsadm：

yum install -y ipvsadm

c)         清除表中所有記錄：

ipvsadm -C

使用下面的命令增加虛擬服務(wù)器，采用輪詢調(diào)度策略：

ipvsadm -A -t 192.168.18.58:8888 -s rr

使用下面的命令添加實際服務(wù)器，并采用NAT方式轉(zhuǎn)發(fā)數(shù)據(jù)包：

ipvsadm -a -t 192.168.18.58:8888 -r 192.168.2.71:9999 -m

ipvsadm -a -t 192.168.18.58:8888 -r 192.168.2.72:9999 -m

d)         打開數(shù)據(jù)包轉(zhuǎn)發(fā)：

echo 1 > /proc/sys/net/ipv4/ip_forward

2.         接下來配置2臺實際服務(wù)器，分別做以下工作：

a)         在9999端口上啟動一個web服務(wù)：

配置好web服務(wù)后，當(dāng)訪問http://192.168.2.71:9999時，頁面返回：This is 192.168.2.71.；當(dāng)訪問http://192.168.2.72:9999時，頁面返回：This is 192.168.2.72.

b)         設(shè)置默認(rèn)網(wǎng)關(guān)指向調(diào)度服務(wù)器

route del default

route add default gw 192.168.2.90

3.         測試

訪問192.168.18.58:8888，會顯示This is 192.168.2.71或This is 192.168.2.72，多次刷新應(yīng)該要交替出現(xiàn)71和72，但實際上并沒有這樣，瀏覽器只顯示與第一次相同的內(nèi)容，也就是ipvsadm每次都選擇了同一臺服務(wù)器。這是因為當(dāng)一個TCP連接的初始SYN報文到達(dá)時，IPVS就選擇了一臺服務(wù)器，后繼報文會被轉(zhuǎn)發(fā)到相同的服務(wù)器。這個TCP連接在ipvsadm中默認(rèn)有效時間為15分鐘，可以通過下面的命令查看：

ipvsadm -L --timeout

Timeout (tcp tcpfin udp): 900 120 300

現(xiàn)在將有效時間改為1秒來測試，使用下面的命令：

ipvsadm --set 1 120 300

再到瀏覽器中每隔1秒多點擊刷新，就會交替出現(xiàn)71和72，說明輪詢調(diào)度正在正常工作。

為了搞清楚iptables NAT的過程，做了這個實驗。使用了1臺雙網(wǎng)卡服務(wù)器和1臺單網(wǎng)卡服務(wù)器，2個網(wǎng)段。服務(wù)器信息如下：

IP配置信息如下：

1.       為了看到調(diào)度服務(wù)器上的數(shù)據(jù)轉(zhuǎn)發(fā)過程，首先在調(diào)度服務(wù)器上分出內(nèi)核的debug日志：

l 在/etc/rsyslog.conf最后增加：kern.debug /var/log/iptables.log

l 重啟日志服務(wù)：/etc/init.d/rsyslog restart

2.       啟動調(diào)度服務(wù)器的iptables并清空規(guī)則

service iptables start

iptables -F

3.       增加調(diào)度服務(wù)器的iptables特定日志輸出

假設(shè)要將對調(diào)度服務(wù)器8888端口的訪問轉(zhuǎn)發(fā)給實際服務(wù)器的9999端口處理，在iptables中增加與這2個端口相關(guān)的日志輸出：

iptables -t mangle -A PREROUTING -p tcp --dport 8888 -j LOG --log-level debug --log-prefix "<<<<< PER IN:"

iptables -t mangle -A PREROUTING -p tcp --sport 9999 -j LOG --log-level debug --log-prefix "<<<<< PER IN:"

iptables -t mangle -A POSTROUTING -p tcp --sport 8888 -j LOG --log-level debug --log-prefix ">>>>> POST OUT:"

iptables -t mangle -A POSTROUTING -p tcp --dport 9999 -j LOG --log-level debug --log-prefix ">>>>> POST OUT:"

iptables -t mangle -A POSTROUTING -p tcp --sport 9999 -j LOG --log-level debug --log-prefix ">>>>> POST OUT:"

這時，通過瀏覽器訪問http://192.168.18.58:8888可以看到iptables.log中打印出下面的日志：

Apr 24 16:24:35 route-server1 kernel: <<<<< PER IN:IN=eth0 OUT= MAC=00:1f:c6:cb:eb:e0:00:1f:33:de:29:ad:08:00 SRC=192.168.18.25 DST=192.168.18.58 LEN=60 TOS=0x00 PREC=0x00 TTL=63 ID=28721 DF PROTO=TCP SPT=50270 DPT=8888 WINDOW=14600 RES=0x00 SYN URGP=0

Apr 24 16:24:35 route-server1 kernel: <<<<< POST OUT:IN= OUT=eth0 SRC=192.168.18.58 DST=192.168.18.25 LEN=40 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF PROTO=TCP SPT=8888 DPT=50270 WINDOW=0 RES=0x00 ACK RST URGP=0

雖然這個端口上即沒有應(yīng)用，也沒有將請求轉(zhuǎn)發(fā)出去，但日志打印出了內(nèi)核獲取到的對這個端口的請求。

4.       配置iptables將對8888的請求轉(zhuǎn)發(fā)到192.168.2.73:9999

iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 8888 -j DNAT --to-destination 192.168.2.73:9999

訪問http://192.168.18.58:8888，日志中打印如下信息：

Apr 24 16:39:21 route-server1 kernel: <<<<< PER IN:IN=eth0 OUT= MAC=00:1f:c6:cb:eb:e0:00:1f:33:de:29:ad:08:00 SRC=192.168.18.25 DST=192.168.18.58 LEN=60 TOS=0x00 PREC=0x00 TTL=63 ID=56888 DF PROTO=TCP SPT=50274 DPT=8888 WINDOW=14600 RES=0x00 SYN URGP=0

日志中只打印了從eth0收到的對8888端口的請求，這是因為當(dāng)數(shù)據(jù)要被轉(zhuǎn)發(fā)到192.168.2.73:9999時，默認(rèn)情況下被禁止了。

5.       打開數(shù)據(jù)包轉(zhuǎn)發(fā)功能

echo 1 > /proc/sys/net/ipv4/ip_forward

訪問http://192.168.18.58:8888，日志中打印如下信息：

Apr 24 16:39:21 route-server1 kernel: <<<<< PER IN:IN=eth0 OUT= MAC=00:1f:c6:cb:eb:e0:00:1f:33:de:29:ad:08:00 SRC=192.168.18.25 DST=192.168.18.58 LEN=60 TOS=0x00 PREC=0x00 TTL=63 ID=56888 DF PROTO=TCP SPT=50274 DPT=8888 WINDOW=14600 RES=0x00 SYN URGP=0

Apr 24 16:39:21 route-server1 kernel: <<<<< POST OUT:IN= OUT=eth1 SRC=192.168.18.25 DST=192.168.2.73 LEN=60 TOS=0x00 PREC=0x00 TTL=62 ID=56888 DF PROTO=TCP SPT=50274 DPT=9999 WINDOW=14600 RES=0x00 SYN URGP=0

第一條日志顯示從eth0收到了對8888端口的請求，第二條日志顯示iptables已經(jīng)更改了數(shù)據(jù)包的目的地為192.168.2.73:9999，并通過eth1發(fā)出去。

但這時請求雖然已經(jīng)被轉(zhuǎn)發(fā)到實際處理的服務(wù)器，但調(diào)度服務(wù)器收不到響應(yīng)，瀏覽器仍在不停重試，日志也在不斷打印。這是因為實際服務(wù)器收到的數(shù)據(jù)包的來源IP是另一個網(wǎng)段的，實際服務(wù)器回復(fù)時，發(fā)現(xiàn)不是本網(wǎng)段的就把數(shù)據(jù)包發(fā)給網(wǎng)關(guān)，網(wǎng)關(guān)設(shè)置的是192.168.2.1，這時數(shù)據(jù)就丟了。

6.       將實際服務(wù)器的默認(rèn)網(wǎng)關(guān)設(shè)置為192.168.2.90

在實際服務(wù)器上執(zhí)行以下命令：

route del default

route add default gw 192.168.2.90

再次訪問http://192.168.18.58:8888，日志打印如下信息：

Apr 24 16:47:27 route-server1 kernel: <<<<< PER IN:IN=eth0 OUT= MAC=00:1f:c6:cb:eb:e0:00:1f:33:de:29:ad:08:00 SRC=192.168.18.25 DST=192.168.18.58 LEN=60 TOS=0x00 PREC=0x00 TTL=63 ID=37000 DF PROTO=TCP SPT=50279 DPT=8888 WINDOW=14600 RES=0x00 SYN URGP=0

Apr 24 16:47:27 route-server1 kernel: <<<<< POST OUT:IN= OUT=eth1 SRC=192.168.18.25 DST=192.168.2.73 LEN=60 TOS=0x00 PREC=0x00 TTL=62 ID=37000 DF PROTO=TCP SPT=50279 DPT=9999 WINDOW=14600 RES=0x00 SYN URGP=0

Apr 24 16:47:27 route-server1 kernel: <<<<< PER IN:IN=eth1 OUT= MAC=00:22:b0:de:f7:49:00:24:8c:b4:a1:8c:08:00 SRC=192.168.2.73 DST=192.168.18.25 LEN=40 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF PROTO=TCP SPT=9999 DPT=50279 WINDOW=0 RES=0x00 ACK RST URGP=0

Apr 24 16:47:27 route-server1 kernel: <<<<< POST OUT:IN= OUT=eth0 SRC=192.168.2.73 DST=192.168.18.25 LEN=40 TOS=0x00 PREC=0x00 TTL=63 ID=0 DF PROTO=TCP SPT=9999 DPT=50279 WINDOW=0 RES=0x00 ACK RST URGP=0

上面第一條第二條日志和之前一樣，iptables將目地址更改后，通過eth1網(wǎng)卡發(fā)送出去。第三條日志通過eth1網(wǎng)卡接收到了實際服務(wù)器發(fā)送過來的數(shù)據(jù)，并在第四條日志中通過eth0發(fā)回請求方。